alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

С утра была дискуссия на тему, кому нужна эта дурацкая утечка Литрес, если там кроме логинов, хешированных паролей и почт особо ничего и нет. Даже истории покупок нет (по крайней мере в публично выложенном фрагменте). Но когда одну из моих пока еще неиспользованных и созданных три недели назад учеток подломили и я менял там пароль, то я увидел несколько сценариев, как плохие парни могут воспользоваться утечкой:
📕 Скачать все книги, которые вы купили и которые хранятся в разделе "Мои книги". Я по своей основной учетке прикинул - с 2008 года куплено 140 книг, то есть это под 75-90 тысяч рублей примерно. Потом эти книги можно выложить в паблик или продавать за платные смски. Если бы так взломали Amazon, то там у меня книг тысяч на 10-15; и не рублей.
📕 С Литреса можно выводить деньги. Раньше это работало и для обычных покупателей (можно было со своего счета вывести деньги), но сейчас, насколько я понял, это работает только для авторов самиздата на Литрес, а также для тех, кто озвучивает аудиокниги.
📕 Если у вас есть купоны и сертификаты Литреса, то, допускаю, что ими тоже можно воспользоваться.
📕 Если вы весь из себя добропорядочный семьянин, а покупаете на Литрес жесткое порно, то вот вам и тема для шантажа (я, правда, не знаю, есть ли там порно, но отметка о взрослом контенте в личном кабинете есть).

ЗЫ. А Литрес тупо молчит и ни пароли не сбросит, ни письма пользователем не разошлет. Выходные, чо...

Читать полностью…

Пост Лукацкого

Американские власти распространяют среди своих полицейских и других правохранителей ДСПшное предупреждение об опасности Flipper Zero 😈

Читать полностью…

Пост Лукацкого

У американцев наблюдается некоторый коллапс в медицинском обслуживании, который начался в четверг с обычного "инцидента с данными". Станции скорой помощи закрылись в ряде штатов. Многие медицинские системы отключены. Анализы крови не принимаются. Хирургические операции не проводятся. И такое происходит по многим штатам, в которых больницами заправляет холдинг Prospect Medical Holdings. Яркий пример, когда недопустимое событие одной компании превращается в отраслевое.

Читать полностью…

Пост Лукацкого

Сидишь в отпуске 🏝, а тут к тебе с бизнес-аккаунта москвичка родом из Гонконга в друзья лезет. Думал, скоротаю время в бассейне, пока электричество вырубили, но нет. После моего «мне 72, но я здоров как бык» интерес ко мне угас и общение прервалось. Наверное, она не любит животных 🐃

ЗЫ. Шо Хин - это китайский "Дед Мороз", кстати 🎅

Читать полностью…

Пост Лукацкого

Эксперты по ИБ за пределами РФ прям слюной исходят из-за этой временной шкалы, которая демонстрирует косяки на стороне Microsoft

Читать полностью…

Пост Лукацкого

Завелись тут осы на даче. Наткнулся случайно, когда косил газон и всколыхнул гнездо. Стал разбираться с тем, как бороться с ними. Нашел три способа - купить патентованное средство, конечно же дорогое, пригласить специалистов и сделать все своими силами и подручными средствами. Все как в ИБ - навороченные средства защиты, open source и аутсорсинг. Но пост не об этом, а о том как измерять эти три варианта. С одной стороны цель все равно одна (устранить ос) и именно ее достижение нам и нужно измерять. Но в ИБ же никто не хочет измерять отсутствие недопустимых событий (это ж непростая цель и для многих недостижимая). Поэтому все стремятся измерять что-то промежуточное.

И вот тут важно помнить, что когда вы выстраиваете систему оценки/измерения эффективности ИБ, то у вас должны быть разные показатели для оценки процессов, в которых участвует человек, и которые построены на использовании полной автоматизации? 5 минут на взятие инцидента в работу для аналитика первой линии - это вроде как и нормально. Но вот для SOC, в котором этот процесс полностью автоматизирован, это как-то многовато... И это еще мы не учитываем, что эти показатели будут отличаться для коммерческих решений и open source.

Поэтому бессмысленно искать в Интернете или у коллег «лучшие значения метрик». «Дай списать» тут не работает и придется самому оценивать текущие значения (сами-то метрики не так уж и важны), пути улучшения и потом уже целевые показатели. И зависеть они будут не только от уровня автоматизации, но и уровня компетенций аналитиков.

ЗЫ. Ну и про закон Гудхарта не забудьте; метрики - не самоцель.

Читать полностью…

Пост Лукацкого

Американцы вчера отметили национальный день книжки-раскраски. CISA тоже не осталась в стороне, выпустив свою ✍️

Читать полностью…

Пост Лукацкого

❗️Сегодня ночью произошел взлом соцсетей некоторых банков, в том числе и нашего.

Если вы перешли по ссылке из фейкового поста про акцию с 1win и оставили данные своей карты, то для безопасности ваших средств советуем временно её заблокировать.

Сделать это можно 3 способами:

1⃣ Через Уралсиб Онлайн.
Заходим в раздел «О карте» и выбираем пункт «Заблокировать карту».
2⃣ По телефону горячей линии +7 800 250-57-57
3⃣ Непосредственно в отделении банка Уралсиб.
Не забудьте взять с собой паспорт.

Главное — не затягивайте. Мошенники в любой момент могут расплатиться вашей картой или снять с нее деньги.

Читать полностью…

Пост Лукацкого

Я уже не раз писал о том, что у нас регуляторы в области кибербеза не только не дружат, но и достаточно активно конкурируют между собой, иногда даже перетягивая одеяло на себя. Например, посмотрим на свеженький 406-ФЗ, который все знают как закон о запрете регистрации с нероссийских e-mail, но есть в нем и другой раздел, посвященный теме хостинг-провайдеров. Теперь требования по их кибербезу устанавливает не ФСТЭК, а Минцифры по согласованию с ФСБ. Правда, требования ФСТЭК по защите персданных никто не отменял.

Меня в этом законе заинтересовал не только пункт про защиту информации, но и про изменение самого определения хостинг-провайдера. Раньше, это было "лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет". В новом законе это "лицо, осуществляющее деятельность...". Я не юрист, но не подпадает ли под новое определение гораздо большее число компаний, в том числе размещающих собственные сайты у себя в ДМЗ? Тут опять потребуется комментарий от Минцифры, которое в последнее время разгребает всю ту кашу, которую заварили депутаты то ли по скудоумию своему в области технологий, то ли вполне осознанно. В последнем случае это жопа, так как там помимо требований по защите информации, есть еще и требования по СОРМу, и куча других ограничений.

А что же ФСТЭК? Она инициировала поправки в Указ Президента №1085, определяющий полномочия ФСТЭК. Помимо запроса на увеличения численной штатности, ФСТЭК готова взять на себя централизованный учет всех защищаемых информационных систем и мониторинг текущего состояния их защищенности (учитывая, что защищенностью у нас занимаются Минцифры, РКН, ФСБ и ФСТЭК, а мониторингом так и вовсе ФСБ), информирование всех подопечных об угрозах и уязвимостях в ИС и мерах по защите от них, разработку процессов управления отраслевой защитой информацией и безопасностью ЗОКИИ. В целом ФСТЭК и так занимается большинством из этих задач (исключая, быть может, мониторинг защищенности); так что ничего совсем нового в предлагаемых поправках нет.

Так что битва якодзун регуляторов продолжится с новой силой...

Читать полностью…

Пост Лукацкого

Microsoft, после недавнего скандала со взломом их облака Azure, разродилась рекомендациями по защите от кражи аутентификационных токенов

Читать полностью…

Пост Лукацкого

Боль… Мы стараемся ее исключить, устранить источник боли. И когда это произошло, мы забываем про нее... до следующего раза. Вот так и ИБ. Мы ее сами преподносим как боль - угрозы, инциденты, уязвимости… Поэтому очень сложно держать фокус топ-менеджмента на ИБ - они выделили бюджет и забыли эту тему как страшный сон; до следующего года или когда вдруг нарыв вскроется и придется судорожно решать проблему с болью и последствиями... Надо быть более позитивными и искать не только боли, которые ИБ лечит, но и плюшки, которые она дает.

Попробую на неделе в блоге про это написать.

Читать полностью…

Пост Лукацкого

Ну и визуализация онтологии. Спасибо авторам и подписчику, приславшему все это 🤝

Читать полностью…

Пост Лукацкого

🍎 Для сотрудников многих министерств и ведомств «яблочная» техника становится «запретным плодом»: девайсы компании Apple запрещают или крайне не рекомендуют использовать в рабочих целях.

Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, считает, что эффективным такой запрет не будет. И у него на это пять три причины.

Во-первых, любой «бумажный» запрет нужно подтверждать техническими мерами, иначе он продержится недолго.

Во-вторых, чиновникам необходимо предложить устройства на замену. А имеющиеся альтернативы либо также могут быть использованы для шпионажа, либо их пока не хватает для всех.

В-третьих, нужно учитывать пользовательские привычки, ведь далеко не все готовы носить с собой два устройства и вести личное и деловое общение на разных платформах.

Подробности — в колонке Алексея Лукацкого в Forbes.

#PositiveTechnologies #PositiveЭксперты

Читать полностью…

Пост Лукацкого

«Снаряд дважды в одну воронку не падает», говорит поговорка. «Падает. Все зависит от плотности огня», говорит нам солдатская мудрость. Вот и с утечками или инцидентам в целом такая же история.

ЗЫ. Хотя, как показывают последние события, второй раз может быть и направленным, если мишень «вкусная» или у нападающих какие-то свои мотивы.

Читать полностью…

Пост Лукацкого

Думал просто запостить в двух заметках попавшую в руки статистику - одна по изменениям в семействах шифровальщиков за последние 2 квартала, а вторая - про изменения в форматах и каналах доставки вредоносов на основе анализа 3 миллиардов семплов. Но подумал, что из этого можно и что-то из серии "Капитана Очевидность сделать. В итоге родилась заметка в блоге.

Читать полностью…

Пост Лукацкого

Кто-то уже попытался вломиться в одну из моих учеток на Литрес 🧑‍💻. Учитывая, что двухфакторной аутентификации там нет, первичный пароль при заведении учетки они делают из 7 символов (и букв там нет), а пароль они присылают на e-mail в открытом виде 😫, то удивительно, как их раньше-то не взломали 🤔

ЗЫ. Поменяйте пароль!

Читать полностью…

Пост Лукацкого

Модель разделения ответственности применительно к инструментам искусственного интеллекта, разворачиваемых в разных локациях

Читать полностью…

Пост Лукацкого

Помню была у меня история много лет назад, когда я еще работал на Винде. Накрылся у меня жесткий диск; да так, что восстановить данные с него было нельзя, а я обращался к разным компаниям и людям по данному вопросу. Были безвозвратно потеряны данные примерно за полгода. Почему у меня не было настроено резервное копирование? Было, но я его отключил, так как на Винде оно работало через жопу, неудобно и очень медленно, постоянно приводя к тормозам на компе. В какой-то важный момент (видимо презу, как обычно в последний момент делал) я психанул и вырубил бэкап. А жесткий диск подвел... 💾

Потом я перешел на macOS, которая сделана для людей, и резервное копирование там настраивается в пару кликов и больше не требует никаких усилий со стороны пользователя (ну разве что проверять иногда, что бэкапы делаются). Позже, я включил еще облачный бэкап важных файлов, а потом и резервирование данных на локальный NAS. Да, я после того случая с потерей данных стал параноиком. Урок был извлечен, хотя он и был болезненный. 🤕

И вот философский вопрос. Какими должны быть уроки по кибербезу, чтобы мы их извлекали и делали правильные выводы? 👨‍🎓 Шифровать данные без возможности восстановления? Реально украсть в рамках пентеста и выложить в сеть ценные данные? ЗаDDoSить Интернет-магазин в канун Рождества и Нового года и потерять кучу бабла? Таки ввести оборотные штрафы и компенсации? Нет у меня ответа на этот вопрос. Возможно, потому что я слишком слабохарактерный...

ЗЫ. Это видео с примером урока плавания собрало в Интернете несколько тысяч комментариев, которые, понятно, можно поделить пополам - от "так и надо учить без всяких уси-пуси" до "что за зверь эта инструкторша, не пускать ее к детям больше никогда". Говорят, в советском детстве так многих учили плавать. Я не знаю - сам тонул дважды и в итоге научился как-то плавать без помощи 🏊🏻‍♂️ Но своих детей я так не рискнул «учить» 🤷

Читать полностью…

Пост Лукацкого

Для борьбы с атаками cache side channel на криптографические ключи и секреты разработали новый алгоритм шифрования SCARF

Читать полностью…

Пост Лукацкого

ФСТЭК утвердила давно ожидаемые многими требования к NGFW и СУБД. Но написать я хотел не о них, они скорее послужили причиной для заметки. Вспомним закон Гудхарта, который утверждает, что "когда мера становится целью, она перестает быть хорошей мерой". Давайте его рассмотрим на примере сертификации средств защиты информации. В идеальном мире (где он только?), где и органы по сертификации, и испытательные лаборатории, и потребители, и регуляторы знают, что и как делать (и делают все своевременно) сертификация позволяет подтвердить качество и функциональность продуктов ИБ. Но вот в реальности...

😕 С точки зрения многих потребителей им нужна не качественная защита, а сертифицированные средства, чтобы проверяющие не имели к ним претензий. То есть сертификат нужен, что не было проблем с надзором, а не с хакерами.
😕 с точки зрения испытательных лабораторий они оценивают безопасную разработку и функциональность продукта в соответствие с требованиями, а не тем, что происходит в реальном мире. То есть выданный сертификат говорит, что продукт соответствует бумаге, а не противодействует реальным атакам. Никто же не выставляет сертифицированные продукты на багбаунти или киберполигоны на постоянной основе 😞
😕 С точки зрения отдельных регуляторов (например, ЦБ) им проще сослаться на действующие требования по сертификации, а не расписывать что реально нужно в той или иной ситуации. То есть в условиях, когда система сертификации работает идеально, это работает. Но когда система отстает, то и все ссылающиеся на нее требования тоже.

Ну а пока у нас появляется два новых набора РД с требованиями по защите к СУБД и NGFW.

Читать полностью…

Пост Лукацкого

💅 Ничто не может остановить фанатов (и не только фанатов), желающих увидеть себя в роли Барби или Кена. И нужно-то всего ничего: скормить сервису на базе нейросети свое фото и указать электронный адрес. В этом-то и опасность. Почему? Сейчас расскажем.

Оставляя свои персональные данные в сети, вы участвуете в создании собственного глобального профиля, говорит Алексей Лукацкий, бизнес-консультант Positive Technologies по информационной безопасности.

Если сервис генерации барби-картинок продаст ваши фото и e-mail, их можно будет соотнести с массивом данных, доступных в интернете. И, если у вас есть привычка всюду указывать один и тот же адрес почты, очень скоро мошенники смогут узнать ваш номер телефона, привычки, примерный список покупок, набор устройств в системе «умного дома», следить за вашими профилями в соцсетях и многое другое.

А с помощью фото ваше изображение можно будет сравнить с другими, например сделанными системами видеонаблюдения. Так злоумышленники смогут узнать, посещаете ли вы театры и концерты, в какие магазины ходите, где паркуете машину и куда предпочитаете ездить в отпуск.

👣 О том, во что это может вылиться и можно ли «замести» свой цифровой след, читайте в колонке Алексея Лукацкого в «Российской газете».

Небольшой спойлер: просто не указывайте свой настоящий электронный адрес 😏

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Новая пророссийская хакерская группа 🎸 Удачное позиционирование. Даже если ни хера не делать, никто претензий не предъявит. Во-первых, некому; они же неизвестные. Во-вторых, не за что; никто же не знает, что они делают.

Читать полностью…

Пост Лукацкого

Американская CISA предупреждает о повышении риска взлома The Sphere в Лас-Вегасе в связи с проведением в городе с 5 по 13 августа трех ИБшных конференций - Defcon, BlackHat и BSides. Регулятор США опасается размещения порнографии на огромном шаре. А я ведь предупреждал 😂

Читать полностью…

Пост Лукацкого

Ну уж если «блондинки» хотят на белых хакеров учиться... Хотя может их белый цвет привлекает 👩‍🦳

Читать полностью…

Пост Лукацкого

С помощью решений по ИБ южнокорейского крупного ИБ-вендора Genians оказались взломаны некоторые клиенты местных криптобирж. Похоже на supply chain атаку, но расследование только началось. Решения Genians активно используются в госсекторе Южной Кореи

Читать полностью…

Пост Лукацкого

Это шуточный, местами сексистский, но заставляющий задуматься ролик. Должна ли компания, производящая средства защиты, использовать их сама? Я считаю, что да.

Выпускаешь EDR? Используй сам и особенно на компы сейлов и дизайнеров поставь. Выпускаешь VPN - используй и особенно VPN-клиенты для часто путешествующих сотрудников.

Свои работники - лучшие и бесплатные тестеры, которые скажут вам всю правду, не стесняясь в выражениях. А вот если вендор сам не использует свои же продукты, то это сигнал 🚨, что к продуктам надо присмотреться пристальнее; а так ли они хороши, как о них поют сейлы.

ЗЫ. Я бы в тендерную документацию вставлял условие - продукт должен использоваться самим производителем не менее года. И тогда сразу и качество, и функциональность решений улучшатся.

Читать полностью…

Пост Лукацкого

Вот и сама онтология, о которой я писал ранее

Читать полностью…

Пост Лукацкого

Если вдруг вы задавались вопросом, сколько в Европе в среднем тратят на GDPR, то вот и ответ - 1.3 миллиона евро (порядка 120 миллионов рублей) 🤑

Читать полностью…

Пост Лукацкого

Результаты опроса по компенсациям в случае утечки персданных. Честно говоря, меня эти цифры удивили. Я лично голосовал за вариант "от 5 до 10 тысяч", но большинство считает адекватным размер компенсации на уровне среднемесячной зарплаты в России.

А теперь представим, что так желаемые некоторыми депутатами правки в КоАП в части компенсации приняты, Минцифры добилось того, что компенсировать надо не всем, а хотя бы 80% пострадавших, и сумма компенсации равна той, которую хочет большинство граждан. Какую бы сумму пришлось бы выплатить компаниям, у которых произошли утечки в последние пару месяцев:
1️⃣ Российская электронная школа - 9 миллионов уникальных адресов - 360 миллиардов рублей
2️⃣ Ренессанс Страхование - 633 тысячи уникальных адресов - 25 миллиардов 320 миллионов
3️⃣ Ашан - 7,7 миллионов телефонных номеров - 308 миллиардов рублей
4️⃣ Твой дом - 618 тысяч уникальных номеров - 24,7 миллиарда рублей
5️⃣ Леруа Мерлен - 4,7 миллионов уникальных адресов - 188 миллиардов рублей
6️⃣ Читай-город - 9,6 миллионов уникальных адресов - 384 миллиарда рублей
7️⃣ Эксмо и АСТ - 426 тысяч уникальных адресов - 17 миллиардов рублей

1,5 триллиона рублей только за 7 утечек июня. А можно же не гражданам эти деньги переводить, а в фонд перечислять, а дальше уже гражданам, которые заявили о желании получить компенсацию (ведь если дать такую возможность самим операторам ПДн, то они будут манкировать этой обязанностью, не желая расставаться с деньгами). А заявят процентов 10 от силы, то есть 1,3 триллиона останутся в бюджете. Гениальная схема вырисовывается. На пустом месте пополнить бюджет триллионами рублей, не прикладывая никаких усилий по росту экономики, и все под соусом защиты конституционных прав граждан. А то, что сумма компенсации часто превышает обороты компаний, кого это волнует; работать надо лучше!

Читать полностью…

Пост Лукацкого

Ну а чо, понятное требование. Гораздо проще, чем пароль правильный выбирать или включить везде многофакторную аутентификацию 🤷‍♀️

Читать полностью…
Подписаться на канал